<!--
  ~ Copyright (c) 2020 Ubique Innovation AG <https://www.ubique.ch>
  ~
  ~ This Source Code Form is subject to the terms of the Mozilla Public
  ~ License, v. 2.0. If a copy of the MPL was not distributed with this
  ~ file, You can obtain one at https://mozilla.org/MPL/2.0/.
  ~
  ~ SPDX-License-Identifier: MPL-2.0
  -->
<p>
 Informativa sulla protezione dei dati dell’Ufficio federale della sanità pubblica UFSP in relazione all’utilizzo dell’«app SwissCovid»
</p>
<p>
 Versione: 1° luglio 2021
</p>
<p>
 Nella presente informativa sulla protezione dei dati l’Ufficio federale della sanità pubblica (UFSP) spiega in che misura tratterà dati personali nel quadro dell’utilizzo dell’applicazione «app SwissCovid» (di seguito app) in Svizzera. Non si tratta di una descrizione esaustiva; alcuni aspetti specifici possono essere regolamentati da altre informative sulla protezione dei dati, documenti analoghi, condizioni di utilizzo o programmi di applicazione.
</p>
<p>
 Il trattamento dei dati personali è disciplinato dal diritto sulla protezione dei dati; al trattamento dei dati personali si applica la legislazione federale in materia. La presente informativa è inoltre conforme alla legge del 28 settembre 2012 sulle epidemie (LEp; RS 818.101), all’ordinanza del 24 giugno 2020 sul sistema di tracciamento della prossimità per il coronavirus SARS-CoV-2 (OSTP; RS 818.101.25), alla legge federale del 25 settembre 2020 sulle basi legali delle ordinanze del Consiglio federale volte a far fronte all’epidemia di COVID-19 (legge COVID-19; RS 818.102) nonché all’ordinanza del 30 giugno 2021 su un sistema di segnalazione di un possibile di contagio da coronavirus SARS-CoV-2 durante una manifestazione (OSSM; RS 818.102.4).
</p>
<p>
 Per dati personali s’intendono tutte le informazioni relative a una persona identificata o identificabile. Il trattamento indica qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione o la distruzione di dati.
</p>
<h1>
 <a id="_Ref514345972">
 </a>
 <a id="_Ref514319024">
 </a>
 Responsabile
</h1>
<p>
 Responsabile per il trattamento dei dati descritti nella presente informativa:
 <br/>
 <br/>
 Ufficio federale della sanità pubblica UFSP
 <br/>
 3003 Berna
 <br/>
 Svizzera
 <br/>
 Tel. +41 58 462 69 98
 <br/>
 recht(at)bag.admin.ch
</p>
<h1>
 Raccolta e trattamento dei dati personali
</h1>
<p>
 L’intero sistema dell’app è concepito in modo tale che l’utente non sia identificabile. Il trattamento dei dati personali è ridotto al minimo, per cui non è in alcun modo tecnicamente possibile risalire a persone, luoghi o dispositivi. Non vengono registrati dati sulla posizione degli incontri rilevati tramite tracciamento di prossimità, ma soltanto informazioni criptate riguardanti i contatti avvenuti. Il sistema di allerta registra solo dati criptati sulle manifestazioni e sui rischi di contagio in occasione di tali manifestazioni. Questi dati sono protetti tecnicamente da usi impropri. L’UFSP non può risalire agli utenti dell’app né decrittare i dati, che l’app protegge impedendo di stabilire un collegamento con una data persona sulle lunghe distanze. Un collegamento a una data persona non può tuttavia essere completamente escluso. Esiste infatti una certa probabilità, in particolare con il sistema di tracciamento della prossimità, che una persona informata di essere potenzialmente a rischio possa risalire all’identità della persona contagiata ricostruendo i contatti sociali avuti nei giorni precedenti. L’utilizzo dell’app potrebbe quindi permettere l’identificazione di persone. La notifica in base a un contatto stretto con un utente risultato positivo al test include le raccomandazioni di comportamento dell’UFSP, l’informazione che l’utente è stato potenzialmente esposto al coronavirus, l’indicazione dei giorni in cui lo è stato, la segnalazione che l’UFSP gestisce una guida (modulo web) e una linea di consulenza telefonica gratuita. Se l’utente esce dall’app per compilare il modulo web, i giorni menzionati nell’app nei quali c’è stata la possibilità di contagio vengono trasmessi automaticamente al modulo. La notifica in base alla funzione di check-in include i punti precedentemente menzionati, ma non l’offerta di una guida, né di una linea di consulenza telefonica, e verte principalmente sulla raccomandazione di sottoporsi al test.
</p>
<ul>
 <li>
  Il sistema dell’app è costituito da tre componenti:
 </li>
 <li>
  un sistema di gestione dei dati di prossimità, costituito da un software che viene installato dagli utenti sul proprio telefono cellulare e da un back end (back end GP);
 </li>
 <li>
  un sistema di gestione dei codici di attivazione delle informazioni (sistema di gestione dei codici), costituito da un front end e un back end basati sul web;
 </li>
 <li>
  un sistema di gestione delle manifestazioni, costituito da un software che viene installato dagli utenti sul proprio telefono cellulare e da un back end (back end manifestazioni).
 </li>
 <li>
  I tre back end, che fungono da server centrali, sono sotto il controllo diretto dell’UFSP e sono tecnicamente gestiti dall’Ufficio federale dell’informatica e della telecomunicazione (UFIT). I front end per la gestione dei codici funzionano sui dispositivi degli specialisti autorizzati a generare il codice di attivazione (codice Covid).
 </li>
</ul>
<p>
 Sul telefono cellulare sono memorizzati i seguenti dati:
</p>
<ul>
 <li>
  i codici di identificazione (cosiddetti ID casuali) ricevuti da altri telefoni cellulari con l’app attivata;
 </li>
 <li>
  la potenza del segnale;
 </li>
 <li>
  la data e la durata stimata della prossimità;
 </li>
 <li>
  i codici di identificazione delle manifestazioni con la rispettiva data, la durata della permanenza e la designazione della manifestazione.
 </li>
</ul>
<p>
 In caso di contagio confermato di un utente, nel sistema di gestione dei codici vengono registrati i seguenti dati:
</p>
<ul>
 <li>
  il codice di attivazione (codice Covid);
 </li>
 <li>
  la data in cui si sono manifestati i primi sintomi o, se l’utente contagiato non presenta sintomi, la data in cui è stato effettuato il test;
 </li>
 <li>
  il momento di distruzione di questi dati.
 </li>
</ul>
<p>
 Il back end GP è costituito da un elenco con i seguenti dati:
</p>
<ul>
 <li>
  le chiavi private degli utenti contagiati che erano di attualità nel periodo in cui altri utenti erano potenzialmente esposti al coronavirus;
 </li>
 <li>
  la data di ogni chiave.
 </li>
</ul>
<p>
 Il back end manifestazioni è costituito da un elenco con i seguenti dati:
</p>
<ul>
 <li>
  i codici di identificazione delle manifestazioni dei partecipanti infetti rilevanti nel periodo in cui è stato possibile un contagio di altre persone durante una manifestazione;
 </li>
 <li>
  la data di ogni codice di identificazione della manifestazione;
 </li>
 <li>
  il periodo rilevante criptato del partecipante infetto per ogni codice di identificazione della manifestazione.
 </li>
</ul>
<p>
 Inoltre, il sistema di tracciamento della prossimità può essere collegato a sistemi esteri corrispondenti se nello Stato in questione è garantita un’adeguata protezione della personalità (grazie alla legislazione o a sufficienti garanzie, in particolare contrattuali). I sistemi esteri sono considerati «corrispondenti» se sono concepiti in base ai seguenti principi del sistema dell’app:
</p>
<ul>
 <li>
  per il trattamento dei dati devono essere adottati tutti i provvedimenti tecnici e organizzativi adeguati per evitare che i partecipanti siano identificabili;
 </li>
 <li>
  i dati sono trattati, per quanto possibile, su componenti decentralizzati e installati dai partecipanti sul loro telefono cellulare. In particolare, i dati su altre persone registrati sul telefono cellulare di un partecipante possono essere trattati e memorizzati esclusivamente su questo telefono cellulare;
 </li>
 <li>
  sono raccolti o trattati in altro modo soltanto i dati necessari a determinare la distanza e la durata della prossimità e a trasmettere le informazioni, ma non dati sulla posizione;
 </li>
 <li>
  i dati sono distrutti non appena non servono più alla trasmissione delle informazioni.
 </li>
</ul>
<p>
 Attualmente esiste un collegamento con la Corona-Warn-App utilizzata in Germania. Per il collegamento, il back end GP e il sistema estero sono collegati a un sistema di collegamento per la trasmissione reciproca delle chiavi private dei partecipanti infetti. Il sistema dell’app trasmette quindi la chiave privata dell’app al sistema di collegamento e memorizza sul back end GP la chiave privata delle app estere collegate.
</p>
<h1>
 <a id="_Ref514335291">
 </a>
 Scopi e basi giuridiche
</h1>
<p>
 Il sistema dell’app gestito dall’UFSP e il sistema di collegamento si fondano sulla LEp, sull’OSTP, sulla legge COVID-19 e sull’OSAM. L’app e i relativi dati trattati servono unicamente a informare, nel rispetto della protezione dei dati, gli utenti che sono stati potenzialmente esposti al coronavirus e a elaborare statistiche in relazione al coronavirus a partire dai dati dei tre back end.
</p>
<p>
 Il sistema di collegamento fa sì che una simile informazione sia possibile anche tra app nazionali collegate. In tal modo, gli utenti dell’app possono essere informati anche se si sono trovati in prossimità di utenti infetti di un’app estera (p. es. frontalieri e turisti in Svizzera o contatti all’estero). Viceversa, anche gli utenti di un’app estera collegata possono essere informati se si sono trovati in prossimità di utenti infetti dell’app.
</p>
<h1>
 <a id="_Ref514399992">
 </a>
 Trasmissione dei dati
</h1>
<p>
 L’elenco con i dati del back end GP e del back end manifestazioni viene messo a disposizione dell’app mediante procedura di richiamo. Laddove l’UFSP commissioni tali servizi a terzi situati in Svizzera o all’estero, questi ultimi s’impegnano contrattualmente a rispettare le prescrizioni dell’articolo 60
 <em>
  a
 </em>
 LEp, dell’OSTP, dell’articolo 3 capoverso 7 lettera a legge COVID-19 nonché dell’OSAM; è fatta salva la disposizione sul codice sorgente di cui all’articolo 60
 <em>
  a
 </em>
 capoverso 5 lettera e LEp e all’articolo 15 OSAM. L’UFSP controlla che questi terzi rispettino le prescrizioni e non utilizzino per scopi propri i metadati generati durante l’esecuzione del mandato. Questi dati sono analizzati soltanto dall’UFSP o dall’UFIT (cfr. n. 8).
</p>
<p>
 L’elenco delle chiavi private degli utenti infetti del back end GP è inoltre trasmesso regolarmente al sistema di collegamento ai fini dell’informazione transfrontaliera. I sistemi esteri collegati (attualmente: la Corona-Warn-App tedesca) scaricano quindi queste chiavi private e le mettono a disposizione delle proprie app affinché possano richiamarle (cfr. n. 2).
</p>
<p>
 L’UFSP mette periodicamente a disposizione dell’Ufficio federale di statistica (UST) per valutazioni statistiche l’attuale raccolta di dati disponibili nei tre back end in forma anonimizzata. I dati del sistema di collegamento possono essere resi noti in forma completamente anonimizzata all’UST e al competente servizio estero a fini statistici. L’UFIT gestisce su incarico dell’UFSP tutti i software e fornisce il servizio di assistenza tecnica necessario. L’UFIT ha accesso solo ai dati necessari agli scopi descritti e all’attività dei collaboratori interessati, che sono tenuti a utilizzare i dati con riservatezza.
</p>
<p>
 Per il sistema di tracciamento della prossimità, l’app utilizza un’interfaccia verso il sistema operativo del telefono cellulare dell’utente che elabora dati attraverso Apple o Google. Le funzioni dei sistemi operativi utilizzate tramite l’interfaccia devono adempiere le prescrizioni di cui all’articolo 60
 <em>
  a
 </em>
 LEp e dell’OSTP; è fatta salva la disposizione sul codice sorgente di cui all’articolo 60
 <em>
  a
 </em>
 capoverso 5 lettera e LEp. L’UFSP si assicura che queste prescrizioni siano rispettate, in particolare richiedendo le necessarie garanzie.
</p>
<h1>
 Periodo di conservazione
</h1>
<p>
 Quando non servono più a informare gli utenti, i dati sono distrutti come segue:
</p>
<ul>
 <li>
  dati del sistema di gestione dei dati di prossimità (sia nei telefoni cellulari sia nel back end GP): 14 giorni dopo la loro registrazione;
 </li>
 <li>
  dati del sistema di gestione delle manifestazioni (sia nei telefoni cellulari sia nel back end manifestazioni): 14 giorni dopo la loro registrazione;
 </li>
 <li>
  dati del sistema di gestione dei codici: 24 ore dopo la loro registrazione;
 </li>
 <li>
  dati del sistema di collegamento: al più tardi 14 giorni dopo la loro trasmissione al sistema di collegamento.
 </li>
</ul>
<h1>
 Sicurezza dei dati
</h1>
<p>
 In stretta collaborazione con i suoi fornitori interni ed esterni di hosting e altri fornitori di servizi IT, l’UFSP adotta adeguati provvedimenti di sicurezza tecnici (p. es. crittografia, pseudo-anonimizzazione, registri, controlli e restrizioni degli accessi, sicurezza dei dati, soluzioni per la sicurezza IT e delle reti ecc.) e organizzativi (p. es. istruzioni ai collaboratori, accordi di riservatezza, controlli ecc.) per proteggere i dati da accessi non autorizzati, perdite e usi impropri, in conformità con le prescrizioni dell’Amministrazione federale e della legislazione svizzera in materia di protezione dei dati.
</p>
<h1>
 Diritti della persona interessata
</h1>
<p>
 La persona interessata ha diritto di accedere ai propri dati e di richiederne la rettifica, la cancellazione o la consegna. Ha inoltre il diritto di limitarne il trattamento o di opporvisi, nonché di revocare il proprio consenso senza che ciò pregiudichi la legalità del trattamento dei dati effettuato fino a quel momento. Questi diritti valgono laddove siano presenti dati personali. Il sistema dell’app si basa sul principio della «privacy by design», che mediante metodi crittografici innovativi e un trattamento dei dati decentralizzato permette di evitare il più possibile la presenza di dati su persone determinate o determinabili (dati personali).
 Per questo motivo l’UFSP non può, per esempio, fornire informazioni sui contatti ravvicinati registrati di una data persona né rettificare questi dati. L’UFSP non può consultare questi dati poiché sono memorizzati unicamente sui telefoni cellulari.
</p>
<p>
 L’esercizio dei propri diritti presuppone che la persona interessata dimostri in modo univoco la propria identità (p. es. mediante copia di un documento). Per far valere i propri diritti si può contattare l’UFSP all’indirizzo indicato al numero 1.
</p>
<p>
 In caso di violazione delle disposizioni legali sulla protezione dei dati ci si può rivolgere all’autorità di vigilanza competente oppure adire le vie legali previste dalla legislazione in materia.
</p>
<h1>
 Varie
</h1>
<p>
 Vengono memorizzati i registri degli accessi al back end GP, al back end manifestazioni e al sistema di gestione dei codici per gli scopi previsti agli articoli 57
 <em>
  l
 </em>
 –57
 <em>
  o
 </em>
 della legge del 21 marzo 1997 sull’organizzazione del Governo e dell’Amministrazione (LOGA; RS 172.010). Gli accessi possono essere analizzati statisticamente. Si applicano gli articoli 57
 <em>
  i
 </em>
 –57
 <em>
  q
 </em>
 LOGA e l’ordinanza del 22 febbraio 2012 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione (RS 172.010.442).
</p>
<p>
 I dati dei registri vengono distrutti come segue:
</p>
<ul>
 <li>
  dati dei registri di terzi incaricati dall’UFSP: 7 giorni dopo la loro registrazione;
 </li>
 <li>
  per il resto la distruzione dei dati dei registri è retta dall’articolo 4 capoverso 1 lettera b dell’ordinanza del 22 febbraio 2012 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione (RS 172.010.442).
 </li>
</ul>
<h1>
 Modifiche
</h1>
<p>
 L’UFSP può modificare in qualsiasi momento e senza preavviso la presente informativa. Fa fede la versione più recente pubblicata o la versione valida per il periodo interessato. La presente informativa è stata redatta in diverse lingue. In caso di divergenze fa fede la versione tedesca. In caso di aggiornamento l’utente dell’app viene informato sulla modifica in forma appropriata.
</p>
<p>
 *****
</p>